Problemen met SCECLI 1202-gebeurtenissen oplossen

In dit artikel worden manieren beschreven om problemen met SCECLI 1202-gebeurtenissen op te lossen.

Van toepassing op: Ondersteunde versies van Windows Server en Windows Client
Origineel KB-nummer: 324383

Samenvatting

De eerste stap bij het oplossen van problemen met deze gebeurtenissen is het identificeren van de Win32-foutcode. Deze foutcode onderscheidt het type fout dat de SCECLI 1202-gebeurtenis veroorzaakt. Hieronder ziet u een voorbeeld van een SCECLI 1202-gebeurtenis. De foutcode wordt weergegeven in het veld Beschrijving . In dit voorbeeld is de foutcode 0x534. De tekst na de foutcode is de beschrijving van de fout. Nadat u de foutcode hebt vastgesteld, zoekt u die foutcodesectie in dit artikel en volgt u de stappen voor probleemoplossing in die sectie.

0x534: Er is geen toewijzing tussen accountnamen en beveiligings-id's uitgevoerd.

of

0x6fc: de vertrouwensrelatie tussen het primaire domein en het vertrouwde domein is mislukt.

Foutcode 0x534: Er is geen toewijzing tussen accountnamen en beveiligings-id's uitgevoerd

Deze foutcodes betekenen dat er een fout is opgetreden bij het oplossen van een beveiligingsaccount naar een beveiligings-id (SID). De fout treedt meestal op omdat een accountnaam verkeerd is getypt of omdat het account is verwijderd nadat het is toegevoegd aan de beveiligingsbeleidsinstelling. Dit gebeurt meestal in de sectie Gebruikersrechten of de sectie Beperkte Groepen van de beveiligingsbeleidsinstelling. Dit kan ook gebeuren als het account bestaat in een vertrouwensrelatie en de vertrouwensrelatie vervolgens wordt verbroken.

Voer de volgende stappen uit om dit probleem op te lossen:

1. Bepaal het account dat de fout veroorzaakt. Hiervoor schakelt u logboekregistratie voor foutopsporing in voor de extensie aan de clientzijde van de beveiligingsconfiguratie:

   1. De Register-editor starten.

   2. Selecteer de volgende registersubsleutel:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

   3. Selecteer in het menu Bewerkende optie Waarde toevoegen en voeg vervolgens de volgende registerwaarde toe:

      • Waardenaam: ExtensionDebugLevel
      • Gegevenstype: DWORD
      • Waardegegevens: 2

   4. Sluit de Register-editor af.

2. Vernieuw de beleidsinstellingen om de fout te reproduceren. Als u de beleidsinstellingen wilt vernieuwen, typt u de volgende opdracht bij de opdrachtprompt en drukt u op Enter:

   gpupdate /target:computer /force
   

   Met deze opdracht maakt u een bestand met de naam Winlogon.log in de %SYSTEMROOT%\Security\Logs map.

3. Zoek het probleemaccount. Hiervoor typt u de volgende opdracht bij de opdrachtprompt en drukt u op Enter:

   find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
   

   De uitvoer Zoeken identificeert de namen van het probleemaccount, bijvoorbeeld Kan MichaelPeltier niet vinden. In dit voorbeeld bestaat het gebruikersaccount MichaelPeltier niet in het domein. Of het heeft een andere spelling, zoals MichellePeltier.

   Bepaal waarom dit account niet kan worden opgelost. Zoek bijvoorbeeld naar typografische fouten, een verwijderd account, het verkeerde beleid dat van toepassing is op deze computer of een vertrouwensprobleem.

4. Als u bepaalt dat het account uit het beleid moet worden verwijderd, zoekt u het probleembeleid en de probleeminstelling. Als u wilt bepalen welke instelling het onopgeloste account bevat, typt u de volgende opdracht bij de opdrachtprompt op de computer die de SCECLI 1202-gebeurtenis produceert en drukt u op Enter:

   c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   In dit voorbeeld zijn de syntaxis en de resultaten:

   c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,MichaelPeltier,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

   Het identificeert GPT00002.inf als de beveiligingssjabloon in de cache van het probleem groepsbeleid object (GPO) dat de probleeminstelling bevat. Het identificeert ook de probleeminstelling als SeInteractiveLogonRight. De weergavenaam voor SeInteractiveLogonRight is Lokaal aanmelden.

   Zie Toewijzing van gebruikersrechten voor een toewijzing van de constanten (bijvoorbeeld SeInteractiveLogonRight) aan hun weergavenamen (bijvoorbeeld Lokaal aanmelden).

5. Bepaal welk groepsbeleidsobject de probleeminstelling bevat. Search de beveiligingssjabloon in de cache die u in stap 4 hebt geïdentificeerd voor de tekst GPOPath=. In dit voorbeeld ziet u het volgende:

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} is de GUID van het groepsbeleidsobject.

6. Als u de beschrijvende naam van het groepsbeleidsobject wilt vinden, gebruikt u de PowerShell-cmdlet Get-GPO -Guid op een domeincontroller (DC) of een server waarop RSAT-hulpprogramma's (Remote Server Administrator Tools) voor Active Directory (AD) zijn geïnstalleerd.

   De beschrijvende naam van het groepsbeleidsobject wordt weergegeven naast het DisplayName veld:

   Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
   DisplayName : Default Domain Controllers Policy
   DomainName : contoso.com
   Owner : CONTOSO\Domain Admins
   

U hebt nu het probleemaccount, de probleeminstelling en het probleem-GPO geïdentificeerd. U kunt het probleem oplossen door de vermelding van het probleem te verwijderen of te vervangen.

Foutcode 0x2: het systeem kan het opgegeven bestand niet vinden

Deze fout is vergelijkbaar met 0x534 en 0x6fc. Dit wordt veroorzaakt door een onoplosbare accountnaam. Wanneer de 0x2 fout optreedt, geeft dit meestal aan dat de niet-oplosbare accountnaam is opgegeven in een beleidsinstelling Voor beperkte Groepen.

Voer de volgende stappen uit om dit probleem op te lossen:

1. Bepaal welke service of welk object de fout heeft. Hiervoor schakelt u logboekregistratie voor foutopsporing in voor de extensie aan de clientzijde van de beveiligingsconfiguratie:

   1. De Register-editor starten.

   2. Selecteer de volgende registersubsleutel:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

   3. Selecteer in het menu Bewerkende optie Waarde toevoegen en voeg vervolgens de volgende registerwaarde toe:

      • Waardenaam: ExtensionDebugLevel
      • Gegevenstype: DWORD
      • Waardegegevens: 2

   4. Sluit de Register-editor af.

2. Vernieuw de beleidsinstellingen om de fout te reproduceren. Als u de beleidsinstellingen wilt vernieuwen, typt u de volgende opdracht bij de opdrachtprompt en drukt u op Enter:

   gpupdate /target:computer /force
   

   Met deze opdracht maakt u een bestand met de naam Winlogon.log in de %SYSTEMROOT%\Security\Logs map.

3. Typ de volgende opdracht bij de opdrachtprompt en druk op Enter:

   find /i "cannot find" %SYSTEMROOT%\security\logs\winlogon.log
   

   De uitvoer Zoeken identificeert de namen van het probleemaccount, bijvoorbeeld Kan MichaelPeltier niet vinden. In dit voorbeeld bestaat het gebruikersaccount MichaelPeltier niet in het domein. Of het heeft een andere spelling, bijvoorbeeld MichellePeltier.

   Bepaal waarom dit account niet kan worden opgelost. Zoek bijvoorbeeld naar typografische fouten, een verwijderd account, het verkeerde beleid dat op deze computer wordt toegepast of een vertrouwensprobleem.

4. Als u bepaalt dat het account uit het beleid moet worden verwijderd, zoekt u het probleembeleid en de probleeminstelling. Als u wilt zien welke instelling het onopgeloste account bevat, typt u de volgende opdracht bij de opdrachtprompt op de computer waarop de SCECLI 1202-gebeurtenis wordt geproduceerd en drukt u op Enter:

   c:\>find /i "account name" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   In dit voorbeeld zijn de syntaxis en de resultaten:

   c:\>find /i "MichaelPeltier" %SYSTEMROOT%\security\templates\policies\gpt*.*
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   SeInteractiveLogonRight = TsInternetUser,*S-1-5-32-549,*S-1-5-32-550,JohnDough,*S-1-5-32-551,*S-1-5-32-544,*S-1-5-32-548
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

   Hiermee wordt GPT00002.inf geïdentificeerd als de beveiligingssjabloon in de cache van het probleem-GPO dat de probleeminstelling bevat. Het identificeert ook de probleeminstelling als SeInteractiveLogonRight. De weergavenaam voor SeInteractiveLogonRight is Lokaal aanmelden.

   Zie Toewijzing van gebruikersrechten voor een toewijzing van de constanten (bijvoorbeeld SeInteractiveLogonRight) aan hun weergavenamen (bijvoorbeeld Lokaal aanmelden).

5. Bepaal welk groepsbeleidsobject de probleeminstelling bevat. Search de beveiligingssjabloon in de cache die u in stap 4 hebt geïdentificeerd voor de tekst GPOPath=. In dit voorbeeld ziet u het volgende:

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} is de GUID van het groepsbeleidsobject.

6. Als u de beschrijvende naam van het groepsbeleidsobject wilt vinden, gebruikt u de PowerShell-cmdlet Get-GPO -Guid op een DC of een server waarop AD RSAT-hulpprogramma's zijn geïnstalleerd.

   De beschrijvende naam van het groepsbeleidsobject wordt weergegeven naast het DisplayName veld:

   Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
   DisplayName : Default Domain Controllers Policy
   DomainName : contoso.com
   Owner : CONTOSO\Domain Admins
   

U hebt nu het probleemaccount, de probleeminstelling en het probleem-GPO geïdentificeerd. U kunt het probleem oplossen door in de sectie Beperkte Groepen van het beveiligingsbeleid te zoeken naar exemplaren van het probleemaccount (in dit voorbeeld MichaelPeltier) en vervolgens de probleemvermelding te verwijderen of te vervangen.

Foutcode 0x5: Toegang geweigerd

Deze fout treedt meestal op wanneer het systeem niet de juiste machtigingen heeft gekregen om de toegangsbeheerlijst van een service bij te werken. Dit kan gebeuren als de beheerder machtigingen voor een service in een beleid definieert, maar het systeemaccount geen machtigingen voor volledig beheer verleent.

Voer de volgende stappen uit om dit probleem op te lossen:

1. Bepaal welke service of welk object de fout heeft. Hiervoor schakelt u logboekregistratie voor foutopsporing in voor de extensie aan de clientzijde van de beveiligingsconfiguratie:

   1. De Register-editor starten.

   2. Selecteer de volgende registersubsleutel:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

   3. Selecteer in het menu Bewerkende optie Waarde toevoegen en voeg vervolgens de volgende registerwaarde toe:

      • Waardenaam: ExtensionDebugLevel
      • Gegevenstype: DWORD
      • Waardegegevens: 2

   4. Sluit de Register-editor af.

2. Vernieuw de beleidsinstellingen om de fout te reproduceren. Als u de beleidsinstellingen wilt vernieuwen, typt u de volgende opdracht bij de opdrachtprompt en drukt u op Enter:

   gpupdate /target:computer /force
   

   Met deze opdracht maakt u een bestand met de naam Winlogon.log in de %SYSTEMROOT%\Security\Logs map.

3. Typ het volgende bij de opdrachtprompt en druk op Enter:

   find /i "error opening" %SYSTEMROOT%\security\logs\winlogon.log
   

   De zoekuitvoer identificeert de service met de onjuist geconfigureerde machtigingen, bijvoorbeeld Fout bij het openen van Dnscache. Dnscache is de korte naam voor de DNS-clientservice.

4. Ontdek welk beleid of welk beleid de servicemachtigingen probeert te wijzigen. Hiervoor typt u de volgende opdracht bij de opdrachtprompt en drukt u op Enter:

   find /i "service" %SYSTEMROOT%\security\templates\policies\gpt*.*
   

   Hieronder ziet u een voorbeeldopdracht en de uitvoer ervan:

   d:\>find /i "dnscache" %windir%\security\templates\policies\gpt*.*
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00002.INF
   Dnscache,3,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;LA)"
   
   ---------- D:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00003.DOM
   

5. Bepaal welk groepsbeleidsobject de probleeminstelling bevat. Search de beveiligingssjabloon in de cache die u in stap 4 hebt geïdentificeerd voor de tekst GPOPath=. In dit voorbeeld ziet u het volgende:

   GPOPath={6AC1786C-016F-11D2-945F-00C04FB984F9}\MACHINE

   {6AC1786C-016F-11D2-945F-00C04FB984F9} is de GUID van het groepsbeleidsobject.

6. Als u de beschrijvende naam van het groepsbeleidsobject wilt vinden, gebruikt u de PowerShell-cmdlet Get-GPO -Guid op een DC of een server waarop AD RSAT-hulpprogramma's zijn geïnstalleerd.

   De beschrijvende naam van het groepsbeleidsobject wordt weergegeven naast het DisplayName veld:

    Get-GPO -Guid 6AC1786C-016F-11D2-945F-00C04FB984F9
    DisplayName : Default Domain Controllers Policy
    DomainName : contoso.com
    Owner : CONTOSO\Domain Admins
   

Nu hebt u de service geïdentificeerd met de onjuist geconfigureerde machtigingen en het probleem GPO. U kunt het probleem oplossen door in de sectie Systeemservices van het beveiligingsbeleid te zoeken naar exemplaren van de service met de onjuist geconfigureerde machtigingen. En voer vervolgens corrigerende actie uit om de machtigingen volledig beheer van het systeemaccount aan de service te verlenen.

Foutcode 0x4b8: er is een uitgebreide fout opgetreden

De 0x4b8 fout is algemeen en kan worden veroorzaakt door veel verschillende problemen. Volg deze stappen om deze fouten op te lossen:

1. Schakel logboekregistratie voor foutopsporing in voor de uitbreiding aan de clientzijde van de beveiligingsconfiguratie:

   1. De Register-editor starten.

   2. Selecteer de volgende registersubsleutel:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

   3. Selecteer in het menu Bewerkende optie Waarde toevoegen en voeg vervolgens de volgende registerwaarde toe:

      • Waardenaam: ExtensionDebugLevel
      • Gegevenstype: DWORD
      • Waardegegevens: 2

   4. Sluit de Register-editor af.

2. Vernieuw de beleidsinstellingen om de fout te reproduceren. Als u de beleidsinstellingen wilt vernieuwen, typt u de volgende opdracht bij de opdrachtprompt en drukt u op Enter:

   gpupdate /target:computer /force
   

   Met deze opdracht maakt u een bestand met de naam Winlogon.log in de %SYSTEMROOT%\Security\Logs map.

3. Zie ESENT-gebeurtenis-id's 1000, 1202, 412 en 454 worden herhaaldelijk vastgelegd in het toepassingslogboek. In dit artikel worden bekende problemen beschreven die de 0x4b8 fout veroorzaken.

Gegevensverzameling

Als u hulp van Microsoft-ondersteuning nodig hebt, raden we u aan de gegevens te verzamelen door de stappen te volgen die worden vermeld in Gegevens verzamelen met behulp van TSS voor groepsbeleid problemen.